2015-04-01
1602
|
Причинами прекращения подачи А могут быть следующие условия:
1. Расходный резервуар пуст.
2. Не действует насос из-за механической поломки, повреждения электросети или отключения насоса и т.д.
3. Разрыв трубопровода.
4. Закрыт запорный клапан.
Очевидно, что, по крайней мере, некоторые из этих причин являются возможными и поэтому можно заключить, что они вызывают существенное отклонение А + В = С.
Затем анализируются последствия. Полное прекращение доступа потока материала А скоро приведет к тому, что количество материала В в реакторе будет превышать количество материала А, что может привести к опасности взрыва. Таким образом, выявлены опасности в конструкции, и они отмечены для дальнейшего рассмотрения.
Следующее ключевое слово: «больше». Отклонения выражаются следующими словами: «в реактивный сосуд поступило больше вещества А».
Причиной этому могут быть технические характеристики насоса, которые при определенных обстоятельствах приведут к увеличению скорости потока одного из веществ. Если это вполне объяснимая причина, то рассматривают следующие последствия:
|
|
|
1. В результате реакции в реактивном сосуде образуется вещество С, загрязненное избытком вещества А, переходящее в таком виде в следующую стадию процесса.
2. Избыточный поток в реактивный сосуд предполагает, что часть вещества будет удалена через сливное устройство.
Для решения вопроса о степени опасности таких обстоятельств нужна дополнительная информация.
Следующее ключевое слово «меньше». Отклонение сформулировано как: «в реактивный сосуд поступило больше вещества А».
Причины этого события несколько отличаются от причин, вызвавших отклонение от режима в результате прекращения подачи А:
1. Запорный клапан открыт неполностью.
2.Частичная закупорка трубопровода.
3.Насос не справляется с подачей жидкости из-за снижения своих рабочих характеристик.
Следствие аналогично тому, которое явилось результатом полного прекращения потока, и поэтому потенциальная опасность - это возможность взрыва.
Затем оставшиеся ключевые слова по очереди применяются к проекту конструкции этой части, для того чтобы обеспечить исследование всех возможных отклонений.
После проверки трубопровода, по которому в реактор поступает материал А, он отмечается на карте технологического процесса как прошедший проверку. Затем выбирается следующая часть конструкции для исследования, и это может быть трубопровод для подачи исходного материала В в реактор. Это повторяется для каждой части конструкции, каждого трубопровода, вспомогательных устройств, например мешалок, любых средств обслуживания реактора (подача тепла и холода) и самого реактора. Вот почему этот метод иногда называют методом последовательной экспертизы.
|
|
|
Только при исключительных обстоятельствах на каждом этапе анализа составляется письменный отчет, придерживаясь рассмотренной структуры описания ПАО. Обычным является проведение анализа с записью только потенциальных опасностей и их причин, например по форме, представленной в таблице 11, и последующим устным их обсуждением.
Таблица 11 - Изучение опасностей и функционирования системы
| Ключевое слово | Нарушения | Причина | Опасность и последствия | Требуемые меры защиты |
| Нет | Нет подачи вещества А | Закрыт клапан | Больше В – взрыв из-за нарушения реакции | Предусмотреть элек-троблокировку вклю-чения насоса |
Необходимо четко представлять значения ключевых слов, определяемые толковым словарем, и придерживаться единообразия при исследовании системы. Ключевые слова (фразы, выражения) применяются для характеристики системы, где имеется информация (описание, техкарта и пр.), как должно действовать оборудование или протекать технологический процесс.
На примере были продемонстрированы принципы, лежащие в основе этого метода, и было показано, как применять первые три ключевых слова. Обычно они используются в своем прямом значении и дают четкую характеристику отклонения от технологического режима. Остальные слова требуют некоторых дополнительных пояснений. Их значение также рассмотрены на примере (рисунок 6). Следующие два отклонения от проекта имеют качественный характер. Ключевыми словами являются так же как, а отклонение – также какперемещение А. Это может означать:
1 Перемещение какого-либо компонента в дополнение к А. Анализ технологического процесса показывает наличие дополнительного трубопровода с запорным клапаном насоса. Если этот клапан не закрыт, вместе с А в реактор может поступать другой компонент. При этом появляется возможность того, что этот компонент либо будет оказывать характерное для него действие, либо будет играть роль инертного разбавителя А.
2 Перемещение А куда-нибудь еще кроме реактора. При анализе карты технологического процесса мы видим, что это возможно. Он мог бы перемещаться вверх по трубопроводу до всасывающего отверстия насоса через Т -образный участок.
3 Другие процессы, происходящие одновременно с перемещением А. Например, может ли происходить кипение или разложение А в трубопроводе или насосе?
Другим отклонением может быть такое отклонение, которое явилось причиной неполной реализации проектного замысла. Ключевыми словами являются: часть чего-либо и отклонение части перемещаемого А. Это могло бы означать:
1 Компонент А отсутствует. В данном случае необходимо иметь данные о составе А для правильной оценки эффекта отсутствующего компонента.
2 Пропуск одного или более реакторов в том случае, если насос подает А в несколько реакторов. Эти последние два отклонения снова имеют качественный характер, однако ни один из проектных замыслов не сохраняется. Первое из отклонений противоречит проекту. Ключевое слово обратный и отклонение формулируется, как обратноеперемещение А. Это означает, что поток направляется из реактора через насос. С помощью технологической схемы (карты) рассматриваются вероятность и возможные последствия такой ситуации.
3 Изучается возможность полной замены проектного замысла чем-нибудь еще. Ключевые слова - другое, а не, а отклонение – что-то другое, а не перемещение А. Это могло бы означать:
3.1 Перенос материала, отличающегося от А. На технологической карте изучается возможность этого. Такое замещение могло бы произойти, например, при ошибочной подаче другого материала через насос. Необходима дополнительная информация о возможных материалах и их действии.
|
|
|
3.2 Изменение запланированного назначения оборудования. Например, подача компонента А не в реактор, а в другую емкость. Изучение карты технологического процесса показывает, что это может произойти через Т -образный отрезок трубопровода.
3.3 Изменение в характере действия вещества и его состоянии. Например, может ли А загустевать вместо того, чтобы перемещаться в трубопроводе?
Дополнительные рекомендации по применению ключевых слов. В предыдущем разделе ключевые слова были представлены в виде набора стандартных терминов, которые могут применяться при рассмотрении проектной документации для того, чтобы сформулировать возможные значимые отклонения. Их значение и применимость зависят от проектных решений, к которым они применяются, и возможного характера отклонений от запланированного процесса или конструкции.
При общем описании могут применяться ключевые слова. При детальном описании они также могут применяться в качестве фраз. Однако при использовании этих слов для более подробных описаний необходимы некоторые ограничения и даже модификации.
Когда они применяются для обозначения таких видов действий, как реагировать и перемещать, обычно можно использовать все ключевые слова для четкой формулировки отклонений от заданного режима. Иногда с помощью одного ключевого слова можно описать несколько отклонений. Все ключевые слова, за исключением, возможно, слова обратный, могут также применяться к веществам. В данном случае также можно сформулировать два или несколько отклонений. Например, больше пара может означать увеличение количества пара или повышение скорости его потока (увеличение расхода пара) или же повышение давления пара (возрастание интенсивности).
При более длительном изучении проекта могут возникнуть ограничения в результате снижения возможности отклонений. Например, рассматривается система, предназначенная для эксплуатации при температуре 100 °С. Единственно возможными отклонениями (если не принимать во внимание абсолютный нуль) являются более, т. е. свыше 100 °С, или менее, т. е. ниже 100 °С.
|
|
|
В тех случаях, когда ключевые слова применяются к временным аспектам, слова более или менее могут означать увеличение или уменьшение продолжительности или увеличение или снижение частот. Однако для характеристики последовательности действий или событий или абсолютного времени более информативными являются ключевые слона скорее или чем иначе (по-другому). Таким же образом при изучении таких аспектов, как положения, источник или назначение, более пригодным является, где еще, чем иначе чем. И снова в этом случае более информативными будут слова выше и ниже, чем более или менее, при характеристике отклонений, связанных с повышением параметров.
При комплексном изучении проекта, предусматривающем характеристику показателей температуры, скорости, состава, давления и т.д., рекомендуется применение всей последовательности ключевых слов отдельно по каждому элементу вместо применения каждого ключевого слова ко всему диапазону характеристик.
При использовании ключевых слов в предложениях также рекомендуется применять последовательность ключевых слов отдельно к каждому слову или фразе, начиная с той части, которая характеризует действие.
6.5 Методы проверочного листа (Check-list) и
«Что будет, если...?» («What - If»)
Помимо рассмотренного метода используются методы, способствующие выявлению критических точек системы, могущих вызвать отказ системы (элемента) или обусловить аварийное состояние производства. Эти методы (чаще - их комбинация) относятся к группе качественных методов оценки опасности, основанных на изучении состояния условий эксплуатации системы (объекта) или проекта действующим требованиям промышленной безопасности. Они дают представления об отклонениях от нормы и могут служить основой для более подробных (в т.ч. и численных) методов анализа, позволяют выработать корректирующие воздействия не только со стороны системы контроля и управления безопасностью, но и внести коррективы в технологический процесс или модернизировать систему. Метод использует промежуточные признаки состояния системы и способствует предотвращению опасных событий. На рисунке 7 приводится схема использования промежуточных признаков для предотвращения развития опасной ситуации, приводящей в последствии к авариям и несчастным случаям.
В плане методического содержания эту схему можно применить к любому производству. В каждом конкретном случае могут изменяться признаки. Опытный специалист по безопасности может заметить промежуточный признак, который не виден лицу, эксплуатирующему оборудование, так же как и оператор технической системы или технолог могут увидеть отклонения от нормы, которые не понятны специалисту по безопасности. Например, в качестве промежуточного признака может выступать излишняя вибрации, шум в отдельных частях агрегата и др. Результат проверочного листа - перечень вопросов и ответов о соответствии исследуемой системы требованиям безопасности и указания по обеспечению безопасности (контрмеры). Метод проверочного листа отличается от «Что будет, если...?» более обширным представлением исходной информации и результатов о последствиях нарушений безопасности. Исследование существенно упрощается, если его обеспечить вспомогательными формами, унифицированными бланками, облегчающими на практике проведение анализа и представление результатов. Методы недороги и наиболее эффективны при исследовании безопасности хорошо изученных объектов с известной технологией или объектов с незначительным риском крупных аварий.
 |
Рисунок 7 - Методика использования промежуточных признаков для предотвращения аварий
Эти методы состоят из двух этапов - общего анализа опасностей и детального в рамках ПАО. Цели общего анализа опасностей - выявить отклонения, разработать план действий последующего анализа и количественных оценок, определить корректирующие воздействия (контрмеры), которые следовало бы применить немедленно. Может оказаться так, что нет необходимости количественной оценки и, более того, в результате общего анализа удается выявить и предложить дешевые и простые контрмеры.
Поскольку анализ выполняется на общем уровне, то и правила его проведения выглядят качественно и, возможно, субъективно. Но это необходимый шаг для использования в последующем количественных методов (на этом этапе следует иметь в виду возможную оценку соотношения затраты - прибыль).
Описание каждой из выявленных опасностей следует заносить в карту (таблица 12).
На карте проставляется дата, что дает возможность устанавливать хронологию выявления (развития) опасностей, указывается подразделение (цех, участок, подсистема, агрегат и пр.), что дает возможность проследить топографию опасностей. Остальная часть разбита на четыре рубрики. Каждая из них представлена несколькими категориями. Категории располагаются так, что те из них, которые требуют наибольшего внимания при анализе, находятся внизу перечня. Например, если серьезность опасности катастрофическая, вероятность аварии - неминуемая, а затраты - номинальные, то необходимо немедленное действие.
Таблица 12 - Карта общего анализа опасностей
| Подготовил _______________________ Дата ___________________________ Описание опасности ______________________________________________ _________________________________________________________________ Участок системы __________________________________________________ | |||
| Серьезность | Вероятность | Затраты | Действия |
| Вызывающая беспокойство | Небольшая | Допустимые | Несрочные |
| Предельно допустимая | Умеренная | Предельные | Анализ |
| Критическая | Значительная | Значительные | Немедленные |
| Катастрофическая |
Каждая опасность характеризуется длительностью экспозиции, серьезностью и вероятностью возникновения. Здесь имеется в виду относительная вероятность для того же интервала времени, для которого рассматриваются и другие опасности. Альтернативы в момент составления карты еще не определены, затраты по ним не известны. В этот момент следует ориентироваться на предположительные относительные оценки, которые не претендуют на абсолютную точность. Они могут быть сделаны опытными специалистами.
Столбец «Действия» не заполняется до тех пор, пока не будут собраны и отсортированы все карты. Категории в картах представлены не количественно, и к ним непосредственно не применимы такие операции, как умножение, сложение и т.д. Их содержание полезно для дальнейшего анализа.
При заполнении названных четырех частей карты следует учесть мнение всех заинтересованных служб предприятий. Таким образом, решение о том, что считать опасностью, не требующей экстренных мер, является отчасти групповым решением.
Действия по ликвидации менее существенных опасностей откладываются до устранения опасностей, требующих экстренного вмешательства.
Большинство опасностей относится к категории, требующий дальнейшего анализа перед принятием решения. Анализ занимает некоторое время. Первыми анализируются самые неотложные и серьезные проблемы. Для этого карты анализа располагаются в порядке срочности требуемых действий, используя признак серьезность – вероятность - затраты, придерживаясь следующей процедуры.
1 Предварительная сортировка. Отбираются все карты с катастрофически серьезными опасностями, затем карты с серьезностью, соответствующей критической, а далее с предельно допустимой и вызывающей бсспокойстпо. Внутри каждой из этих категорий карты сортируются по вероятности аварий соответственно: неотвратимая, значительная, умеренная и небольшая. Наконец, внутри каждой группы проводится аналогичная сортировка по затратам. Так карты окажутся рассортированными по затратам внутри вероятности аварии, а далее - внутри категорий серьезности. При сортировке придается наибольшее значение серьезности, а затратам - наименьшее.
2 Пересмотр и ранжирование опасности. Следует по порядку пересмотреть все карты. Надо сверить первую карту со второй, задавшись вопросом: «Действительно ли первая опасность серьезнее второй»? и «Что будет, сли...?». Тут уже выносится субъективное решение на базе всей имеющейся информации. Если покажется необходимым, то карты меняют местами. После контроля первых двух карт вторая сравнивается с третьей. Таким образом, за один просмотр колоды карт достигается упорядоченность оценок опасности.
3 Составление приоритетного перечня. Перекладка карт здесь уже не имеет места. По картам составляется перечень опасностей для проведения более детального анализа в рамках ПАО.
При этих методах анализа имеется два комплекса проблем во время анализа опасностей: изучение самих опасностей и изучение опасных элементов системы, но их можно рассматривать совместно.
Эту связь можно оформить в виде таблицы (таблица 13).
Сначала определяются сомнительные элементы наблюдаемой системы. Для анализа используется способ декомпозиции. Разделение на элементы должно производиться следующим образом:
1 Перед началом необходимо проследить за работой всей системы в целом.
2 Необходимо установить точку логического начала развития опасности в общей последовательности событий.
3 Начиная с этой точки, следует анализировать сомнительный элемент. При этом:
- не следует укрупнять элементы в блоки с целью удобства анализа (в каждой части системы может находиться свой элемент опасности);
- не следует мельчить систему на множество элементов, если они работают в одном модуле (нет необходимости усложнять анализ).
Таблица 13 - Бланк детального анализа
| Общий анализ опасностей N_____________________________________________ Участок системы___________________ Подготовил _________________________ Задача или действие _______________________________ Дата _______________ Контрмера __________________________________ Затраты _________________ | ||||||
| Элементы системы (их комбинация) | Элементы опасности | |||||
| … | ||||||
| ... |
4 Повторить шаг 3 для всей последовательности элементов, чтобы не пропустить (пробелы) или не включить дважды элемент (наложения на один из элементов).
5 Если встречаются комбинации (варианты), анализировать их следует отдельно, а затем можно скомбинировать при составлении общего списка. Элементы системы, имеющие одновременно опасные состояния, надо располагать так, чтобы можно было выделить и оценить присущие им специфические опасности.
6 Свести поэлементный анализ в форму «Детальный анализ» в том порядке, в котором опасности появляются.
После завершения списка опасностей может оказаться несколько вариантов бланков. В бланках удобно использовать символы, обозначающие ситуацию (таблица 14).
В результате появляется возможность наглядно представить опасности каждого элемента (модуля, блока) системы.
Обычно перечень составляется так, что вначале показываются более серьезные опасности. На этом этапе не следует применять количественных оценок для сравнения различных общих опасностей. Полная картина необходима для представления всей проблемы перед переходом к дальнейшим видам оценки.
Таблица 14 – Символика анализа опасностей
| Символ | Значение |
| X | Опасность присутствует в элементе |
| R | Опасность снижается контрмерой |
| Rl, R2, R3... | Опасность снижена до степени, соответствующей норме |
| «—» (пробел) | Опасность в элементе устранена |
| Е | Опасности в элементе не было |
| I | Контрмера увеличивает опасность |
На этом аналитическая часть процедуры оценки заканчивается. В итоге для проведения качественного анализа необходимо следующее:
– составить список опасностей по результатам общих исследований, оценкам характера технологии, по промежуточным признакам. Принять немедленные действия для очевидных контрмер;
– на основании беглого анализа заполнить карты общего анализа для каждой выявленной опасности;
– рассортировать карты опасностей, размещая первыми более критичные, для того чтобы сформировать приоритетный список для детального изучения;
– выполнить детальный анализ опасностей для всех опасностей, которые этого требуют. Отсюда исключаются опасности, для которых контрмеры очевидны и недороги, а также несущественные по мнению специалистов.
Детальный анализ в границах ПАО проводится после общего, когда устранены опасности, не требующие больших затрат. Остальные опасности ранжированы в соответствии с качественной оценкой их важности.
Анализ состоит в следующем:
1 Опасности классифицируются по месту и времени действия в операции, что позволяет лучше оценить серьезность и продолжительность опасности.
2 Выявляются изначальные причины аварий вместо использования промежуточных признаков и симптомов.
3 Подробно рассматриваются влияния контрмер, что трудно сделать при более общем анализе.
4 Прослеживается влияние каждой контрмеры на все элементы системы и проверяется, не увеличивается ли опасность в каких-либо взаимодействующих частях системы.
Следующий этап детального анализа - матричное представление опасностей. Цель - дать информацию о затратах и эффективности в сжатой и логичной форме. При этом информация не обрабатывается, не формализуется, а только лишь представляется в удобном виде для принятия правильного решения. Как правило, производится сравнение альтернативных вариантов и различных типов общих опасностей.
В матрице элементы опасности, выявленные в ходе детального анализа, располагаются в порядке важности. Альтернативные варианты указываются в вертикальном столбце и тут же указываются затраты на данную контрмеру. В поле матрицы в местах пересечения опасностей и контрмер указываются символы: «-» - устранение элемента опасности, R - снижение опасности, X - опасность не изменилась, I - опасность увеличилась.
Экономическая эффективность мероприятий представляет собой дополнительную переменную, выявленную в ходе детального анализа.
Матричное представление не гарантирует оптимальность решения, поскольку этот метод является только рациональным для формирования заключения за счет упорядочения качественной оценки опасностей.
6.6 Анализ вида и последствий отказа АВПО (Failure Mode and Effects Analysis - FMEA)
Данный метод применяется для качественной оценки безопасности технических систем. Существенной чертой этого метода является рассмотрение каждой системы в целом или каждой составной ее части на предмет того, как она может стать неисправной (вид и причина отказа) и как этот отказ воздействует на технологическую систему (последствия отказа).
Анализ вида и последствий отказа (АВПО) является анализом индуктивного типа, с помощью которого систематически, на основе последовательного рассмотрения одного элемента за другим анализируются все возможные виды отказов или аварийные ситуации и выявляются их результирующие воздействия на систему. Отдельные аварийные ситуации и виды отказов элементов выявляются и анализируются для того, чтобы определить их воздействие на другие близлежащие элементы и систему в целом. АВПО можно выполнить анализ более детально, чем анализ с помощью дерева отказов, поскольку при этом необходимо рассматривать все возможные виды отказов или аварийные ситуации для каждого элемента системы. Например, реле может отказать по следующим причинам: контакты не разомкнулись; запаздывание в замыкании контактов; короткое замыкание контактов на корпус, источник питания, между контактами и в цепях управления; дребезжание контактов; неустойчивый электрический контакт; контактная дуга; разрыв обмотки и пр.
Дополнительно для каждой категории оборудования должен быть составлен перечень необходимых проверок. Например, для баков, других емкостей и секций трубопроводов такой перечень может включать:
- переменные параметры: расход, количество, температура, давление, насыщение и т.д.;
- системы: нагрева, охлаждения, электропитания, подачи, управления и т.д.; - особые состояния: обслуживание, включение в работу, выключение, смена катализатора и т.д.;
- изменения условий или состояния: слишком большое (давление), слишком малое, гидроудар, осадок, вибрация, пожар, падение, механическое повреждение, коррозия, разрыв, утечка, износ, взрыв и др.;
- прибор: чувствительность, настройка, запаздывание и т.д.
Карта проверки представляет собой изложение АВПО, а ее форма подобна используемой при выполнении ПАО. Основная разница заключается в большей степени детализации. Метод рассматривает все виды отказов по каждому элементу. Он ориентирован на аппаратуру и механические системы, прост для понимания, не требует применения математического аппарата. Такой анализ позволяет установить необходимость внесения изменений в конструкцию и оценить их влияние на надежность системы. Его недостаток состоит в том, что он рассматривает неопасные отказы, требует значительных затрат времени и часто не учитывает сочетания отказов и человеческого фактора.
6.7 Анализ вида, последствий и критичности отказа – АВПКО (Failure Mode, Effects and Critical Analysis - FMECA)
Если помимо влияния вида отказа рассматривается еще и степень его серьезности или относительный вес, то процедура называется анализом критичности отказов.
В этом случае каждый вид отказа ранжируется с учетом двух составляющих критичности - вероятности (или частоты) и тяжести последствий отказа. Понятие критичности близко к понятию риска и может быть использовано при более детальном анализе риска аварии. Определение параметров критичности необходимо для выработки указаний и приоритетности мер безопасности.
При анализе необходимо выделить четыре группы объектов, которым может быть нанесен ущерб от опасности (аварии): персонал, население, окружающая природная среда, материальные объекты (оборудование, сооружения промышленных предприятий и близлежащих населенных пунктов).
Анализ критичности (АК) используется после проведения ПАО или АВПО и классифицирует элементы по различным категориям критичности для различных видов отказов.
Категория 1. Отказ, потенциально приводящий к жертвам.
Категория 2. Отказ, потенциально приводящий к невыполнению основной задачи.
Категория 3. Отказ, приводящий к задержкам, сбою или потере работоспособности.
Категория 4. Отказ, приводящий к дополнительному, незапланированному обслуживанию.
Введение категорий критичности является очевидным «следующим шагом» после проведения АВПО, формируя объединенный метод - анализ видов, последствий и критичности отказов.
Элементы можно классифицировать, вычислив коэффициенты критичности Cr:
n=1, 2, …, N,
где Сr – коэффициент критичности для элементов системы;
n – число критических видов отказов элемента системы, которые попадают под конкретное определение потерь;
N – последний критический вид отказа элемента системы, соответствующий определенному виду потерь;
lG – соответствующая частота отказов элементов системы, выраженная в отказах за час или цикл работы;
t – время работы в часах или число циклов данного элемента при выполнении программы;
КА – коэффициент, учитывающий разницу между загрузкой элемента при определении параметра lG и ожидаемой загрузкой элемента в данной системе;
КЕ – коэффициент окружающих условий, учитывающий разницу между окружающими условиями при замере параметра lG и ожидаемыми условиями работы элемента.
Примечание. При упрощенном вычислении можно пренебрегать коэффициентами KA и KE, а значение lG использовать в качестве приближенного значения интенсивности отказов для данного вида отказа и условий работы.
b - коэффициент отношения данного вида отказа к критическому (доля от lG, вносимая этим отказом в критическое состояние системы);
a - условная вероятность того, что последствия отказа для данного вида критического отказа имеют место при условии, что произошел критический отказ данного вида. Значение a следует выбирать из следующего набора величин (таблица 15).
Таблица 15 – Определения показателя a
| Последствия отказа | Типичные значенияa, % |
| Фактические потери | |
| Вероятные потери | 10 - 100 |
| Возможные потери | 0 - 10 |
| Отсутствие потерь |
Множитель, переводящий коэффициент Cr потерь от реализации опасности к потерям на 1 млн. возможных событий, равен 106.
Данный метод не дает количественной оценки возможных последствий или ущерба. Основная его ценность заключается в улучшении качества системы путем определения:
- элемента, который должен быть подвергнут детальному анализу с целью исключения опасностей, приводящих к возникновению аварии, т.е. с целью создания надежной конструкции, снижающей интенсивности отказов или ограничения ущерба;
- элемента или узла, требующего особого внимания в процессе производства и более жесткого контроля качества и нуждающегося в особо осторожном обращении в течение всего времени использования;
- специальных требований для поставщиков, подлежащих включению в перечень характеристик, которые относятся к конструкции, функционированию, надежности, безопасности или гарантии качества;
- норм входного контроля, которые должны быть установлены для элементов, получаемых от смежников (субподрядчиков) и для параметров, подлежащих наиболее тщательной проверке;
- узлов систем (подсистем), где следует вводить специальные процедуры, правила безопасности, применять защитное оборудование, контрольные приборы или сигнальные системы;
- эффективного распределения средств на предотвращение аварий.
6.8 Дерево отказов – ДО (Fault Tree Analysis – FTA)
Тщательному анализу причин отказов ивыработке мероприятий, наиболее эффективных для их устранения, способствует построение дерева отказов инеработоспособных состояний. Такой анализ проводится для каждого периода функционирования, каждой части или системы в целом.
Дерево отказов(аварий, происшествий, последствий, нежелательных событий, несчастных случаев ипрочее) лежит в основе логико-вероятностной модели причинно-следственных связей отказов системы с отказами ее элементов идругими событиями (воздействиями); при анализе возникновения отказа состоит из последовательностей и комбинаций нарушений инеисправностей, и таким образом оно представляет собой многоуровневую графологическую структуру причинных взаимосвязей, полученных в результате прослеживания опасных ситуаций в обратном порядке, для того чтобы отыскать возможные причины их возникновения(рисунок 8).
Рисунок 8 - Существо метода заключается в построении структурной схемы дерева отказов системы и ее анализе.
Основной принцип построения дерева отказов заключается в последовательной постановке вопроса: по каким причинам может произойти отказ системы, то есть анализ осуществляется «сверху вниз».
Ценность дерева отказов заключается в следующем:
1) анализ ориентируется на нахождение отказов;
2) позволяет показать в явном виде ненадежные места;
3) обеспечивается графикой и представляет наглядный материал для той части работников, которые принимают участие в обслуживании системы;
4) дает возможность выполнять качественный или количественный анализ надежности системы;
5) метод позволяет специалистам поочередно сосредотачиваться на отдельных конкретных отказах системы;
6) обеспечивает глубокое представление о поведении системы и проникновение в процесс ее работы;
7) являются средством общения специалистов, поскольку они представлены в четкой наглядной форме;
8) помогает дедуктивно выявлять отказы;
9) облегчает анализ надежности сложных систем.
Главное достоинство дерева отказов заключается в том, что анализ ограничивается выявлением только тех элементов системы и событий, которые приводят к данному конкретному отказу системы или аварии.
Недостатки дерева отказов состоят в следующем:
1) реализация метода требует значительных затрат средств и времени;
2) дерево отказов представляет собой схему булевой логики, на которой показывают только два состояния: рабочее и отказавшее;
3) трудно учесть состояние частичного отказа элементов, поскольку при использовании метода, как правило, считается, что система находится либо в исправном состоянии, либо в состоянии отказа;
4) трудности в общем случае аналитического решения для деревьев, содержащие резервные узлы и восстанавливаемые узлы с приоритетами, не говоря уже о тех значительных усилиях, которые требуются для охвата всех видов множественных отказов;
5) требует от специалистов по надежности глубокого понимания системы и конкретного рассмотрения каждый раз только одного определенного отказа;
6) дерево отказов описывает систему в определенный момент времени (обычно в установившемся режиме), и последовательности событий могут быть показаны с большим трудом, иногда это оказывается невозможным. Это справедливо для систем, имеющих сложные контуры регулирования.
Чтобы отыскать и наглядно представить причинную взаимосвязь с помощью дерева отказов, необходимы элементарные блоки, подразделяющие и связывающие большое число событий.
Имеется два типа блоков: логические символы (знаки) и символы событий.
Логические символы и символы событий. Логические символы (знаки) связывают события в соответствии с их причинными взаимосвязями. Обозначения логических знаков приведены в таблице 16. Логический символ (знак) может иметь один или несколько входов, но только один выход, или выходное событие.
Таблица16 – Логические символы
| Символ логического знака | Название логического знака | Причинная взаимосвязь | |||
| И | Выходное событие прои-ходит, если все входные события случаются одновременно | |||
| ИЛИ | Выходное событие происходит, если случается любое из входных событий | |||
| «Запрет» | Наличие входа вызывает наличие выхода тогда, когда происходит условное событие | |||
| «Приоритетное И» | Выходное событие случается, если все входные события происходят в нужном порядке слева направо | |||
| «Исключающее ИЛИ» | Выходное событие происходит, если случается одно (но не оба) из входных событий | |||
| «m из n» (голосования или выборки) | Выходное событие происходит, если случается m из n входных событий |
Логический знак «И» (схема совпадения). Выходное событие логического знака И наступает в том случае, если все входные события появляются одновременно.
Правило формулирования событий:события, входные по отношению к операции И, должны формулироваться так, чтобы второе было условным по отношению к первому, третье условным по отношению к первому и второму, а последнее − условным ко всем предыдущим. Кроме того, по крайней мере, одно из событий должно быть связано с появлением выходного события.
Полная характеристика события не требуется. Иногда она даже мешает графической ясности диаграммы. Требуется лишь упорядочить события так, чтобы стоящее справа зависело от появления стоящего слева. Таким образом, появление выходного события будет определяться появлением последнего события в ряду N − событий.
Правило применения логического знака И: если имеются несколько причин, которые должны появиться одновременно, то обычно используется операцию И. Входы операции должны отвечать на вопрос: «Что необходимо для появления выходного события?».
Логический знак «ИЛИ» (схема объединения). Выходное событие логического знака ИЛИ наступает в том случае, если имеет место любое из входных событий.
Правило формулирования событий: события, входные по отношению к операции ИЛИ,должны формулироваться так, чтобы они вместе исчерпывали все возможные пути появления выходного события. Кроме того, любое из входных событий должно приводить к появлению выходного события.
Правило не дает способа описания событий, но оно должно выполняться при построении дерева отказа.
Правило применения логического знака ИЛИ: если любая из причин приводит к появлению выходного события, следует использовать операцию ИЛИ. Входы операции отвечают на вопрос: «Какие события достаточны для появления выходного события?».
Порядок применения логических знаков И и ИЛИ:для любого события, подлежащего дальнейшему анализу, вначале рассматриваются все возможные события, являющиеся входами операций ИЛИ, затем входы операций И. Это справедливо как для головного события, так и для любого события, анализ которого целесообразно продолжить.
Примеры этих двух логических знаков показаны на рисунке 9. Событие «возникновение пожара»имеет место, если два события − «утечка горючей жидкости» И «очаг воспламенения вблизи горючей жидкости»происходят одновременно. Последнее (критическое) событие случается, если происходит одно из двух событий − «наличие искры» ИЛИ «курящий рабочий».
Рисунок 9 − Пример использования логических знаков И и ИЛИ
Причинные связи, выраженные логическими знаками И и ИЛИ, являются детерминированными, так как появление выходного события полностью определяется входными событиями.
Логический знак запрета. Шестиугольник, являющийся логическим знаком запрета, используется для представления вероятностных причинных связей. Событие, помеченное под логическим знаком запрета (рисунок 10) называется входным событием, в то время как событие, расположенное сбоку от логического знака, называется условным событием.
Рисунок 10 – Пример использования логического знака запрета (а) и замены его логическим знаком И (б)
Условное событие принимает форму события при условии появления входного события. Выходное событие происходит, если и входное и условное события имеют место. Другими словами, входное событие вызывает выходное событие с вероятностью (обычно постоянной) появления условного события. Логический знак запрета часто появляется в тех случаях, когда событие вызывается по требованию. Он используется главным образом для удобств и может быть заменен логическим знаком И.
Логический знак «приоритетное И» эквивалентен логическому знаку И с дополнительным требованием того, чтобы события на входе происходили в определенном порядке.
Событие на выходе появляется, если события на входе происходят в определенной последовательности (слева направо). Появление событий на входе в другом порядке не вызывает события на выходе.
Пример: система, имеющая основной источник питания и резервный. Резервный источник питания включается в работу автоматически переключателем, когда отказывает основной источник. Питание в системе отсутствует, если:
1) отказывают как основной, так и резервный источники;
2) сначала выходит из строя переключатель, а затем отказывает основной источник питания.
Предполагается, что если за отказом переключателя следует отказ основного источника, то это не приведет к потере питания при условии нормальной работы резервного источника. Причинные связи в системе показаны на рисунке 11.
Рисунок 11 – Пример использования логического знака «приоритетное И»
Логический символ «приоритетное И» может быть представлен сочетанием «логического И» и знака «запрета», а следовательно, эти логические знаки являются эквивалентом «логического И». Условным событием для «логического запрета» является то, что входные события происходят в определенной последовательности.
Логический символ «исключающее ИЛИ» описывает ситуацию, в которой событие на выходе появляется, если одно из двух (но не оба) событий происходят на входе. В качестве примера предлагается рассмотреть систему, питаемую от двух генераторов. Частичная потеря мощности может быть представлена элементом «исключающее ИЛИ», показанным на рисунке 12,а. «Исключающее ИЛИ» может быть заменено комбинацией логических элементов И, ИЛИ,что проиллюстрировано на рисунке 12,б.
Рисунок 12 – Пример использования логического знака «исключающее ИЛИ» (а) и его эквивалентное представление (б)
Обычно в дереве отказов не используются работоспособные состояния, такие как «генератор работает», так как они в значительной степени усложняют количественный анализ.Разумным подходом является замена логического знака «исключающее ИЛИ» комбинацией знаков И и ИЛИ.
Логический знак голосования m из n имеет n событий на входе, а событие на выходе появляется, если происходят, по меньшей мере, mиз n событий на входе. Пример: система выключения, состоящая из трех контрольных приборов. Предполагается, что выключение системы происходит тогда и только тогда, когда два из трех контрольных приборов 
выдают сигнал о выключении. Таким образом, ненужное выключение системы происходит, если два или большее число контрольных приборов подадут ложный сигнал на выключение, в то время как система находится в нормальном состоянии.
Эту ситуацию можно представить с помощью логического элемента «два из трех», как показано на рисунке 13.
Рисунок 13 – Пример применения логического знака «два из трех»
Можно ввести новые логические знаки для представления специальных типов первичных связей.
Символы событий приведены в таблице 17.
Таблица 17 – Символы событий
| Строка | Символ события | Содержание события |
| Исходное событие, обеспеченное достаточными данными | |
| Событие недостаточно детально разработано | |
| Событие, вводимое логическим элементом | |
| Условное событие, используемое с логическим знаком «запрет» | |
| Событие, которое может произойти или не произойти | |
 
| Символ перехода |
Прямоугольный блок обозначает событие отказа, которое возникает в результате более элементарных, исходных отказов,соединенных с помощью логических элементов.
Круглый блок обозначает исходный отказ (исходное событие) отдельного элемента (в пределах данной системы или окружающей среды), который определяет, таким образом, разрешающую способность данного дерева отказов.
Для того чтобы получить количественные результаты с помощью дерева отказов, круглые блоки должны представлять события, для которых имеются данные по надежности и которые называются исходными событиями. «Отказ клапана из-за износа» может быть примером исходного отказа элемента и помещается в круг. Обычно такое событие обусловливается определенным элементом и, когда оно происходит, этот элемент необходимо отремонтировать или заменить.
Ромбы используются для обозначения детально не разработанных событий в том смысле, что детальный анализ не доведен до исходных типов отказов в силу отсутствия необходимой информации, средств иди времени.«Авария из-за саботажа или диверсии» является примером детально не разработанного события. Часто такие события не увеличиваются при количественном анализе. Они включаются на начальном этапе, и их присутствие служит показателем глубины и ограничений данного исследования.
Из рисунка 14 видно, что отказ «избыточный ток в цепи» может быть вызван исходным событием «короткое замыкание» или событием, не разработанным детально - использования символов событий «круг» и «ромб»
Рисунок 14 – Пример использования символов событий «круг» и «ромб»
Если есть необходимость в более детальной разработке события «пульсация напряжения в цепи», то следует использовать прямоугольник, для того чтобы показать, что событие не разработано до более элементарного уровня. Затем необходимо вернуться назад и проанализировать, например, такие элементы, как генератор или другие аппараты в данной схеме.
Символ домик - ожидаемое событие.Иногда желательно рассмотреть различные особые случаи дерева отказов, заведомо предполагая, что одни события происходят, а другие события исключаются из рассмотрения. В таких случаях, целесообразно пользоваться символом в виде домика. Когда этот символ включается в дерево отказов, предполагается, что данное событие обязательно происходит, и возникает противоположная ситуация, когда оно исключается. Можно также опустить причинные взаимосвязи, расположенные под знаком И, не учитывая события, заключенного в домике и стоящего на входе этого логического знака. Подобным образом можно аннулировать связи под логическим знаком ИЛИ,присоединив событие, заключенное в домике, непосредственно к этому знаку.
В таблице 7 изображена пара треугольных символов: треугольник переноса «ИЗ»и треугольник переноса «В»,обозначающих два подобных типа причинных взаимосвязей. Треугольник переноса «ИЗ»соединяется с логическим символом сбоку, а у треугольника переноса «В»линия связи проходит от вершины к другому логическому символу. Треугольники используются для того, чтобы упростить изображение дерева отказов.
Построение, содержание анализа и структура дерева отказов. Эвристические правилапостроения дерева отказов:
1) заменять абстрактные события менее абстрактными,например, событие «электродвигатель работает слишком долго» на событие «ток через электродвигатель протекает слишком долго»;
2) разделять события на более элементарные,например, событие «взрыв бака» заменять на событие «взрыв за счет переполнения» или «взрыв в результате реакции, вышедшей из-под контроля»;
3) точно определять причины событий,например, событие «вышедшее из-под контроля» заменять на событие «избыточная подача» или «прекращение охлаждения»;
4)связывать инициирующие событияс событием типа «отсутствие защитных действий», например, событие «перегрев» заменять на событие «отсутствие охлаждения» в сочетании с событием «нет выключения системы»;
5) отыскивать совместно действующие причины событий, например, событие «пожар» заменять на два события «утечка горючей жидкости» и «искрение реле»;
6) точно указывать место отказа элемента, например, событие «нет охлаждающей жидкости» заменять на событие «главный клапан закрыт» в сочетании с событием «нет открытия отводки клапана» или «нет напряжения на электродвигателе» заменять на событие «нет тока в кабеле»;
7) детально разрабатывать отказы элементов. Прослеживая события в обратном направлении в поисках более элементарных событий, обычно можно обнаружить отказы отдельных элементов.
Если событие, заключенное в прямоугольнике, может быть детально разработано, то оно называется «состояние элемента». В противном случае событие называется «состояние системы». Для события «состояние системы» нельзя выделить определенный элемент, который является единственной причиной данного события. Сразу несколько элементов или даже отдельные подсистемы определяют это событие. Такие события следует разрабатывать, руководствуясь первыми шестью правилами, до тех пор, пока не выявятся события «состояние элемента».
8) упрощать дерево отказов,как в процессе его построения, так и после того, как оно построено путем упрощения ветвей, имеющих нулевую пли очень высокую вероятность появления событий.
Обычно предполагается, что исследователь, прежде чем приступить к построению дерева отказов, тщательно изучает систему. Поэтому описание системы должно быть частью документации, составленной в ходе такого изучения.
Процедура построения дерева отказов включает, как правило, следующие этапы:
1) определение нежелательного (завершающего) события в рассматриваемой системе;
2) тщательное изучение возможного поведения и предполагаемого режима использования системы;
3) определение функциональных свойств событий более высокого уровня для выявления причин тех или иных неисправностей системы и проведение более глубокого анализа поведения системы с целью выявления логической взаимосвязи событий более низкого уровня, способных привести к отказу системы;
4) собственно построение дерева отказов для логически связанных событий на входе.
Чтобы получить количественные результаты для завершающего нежелательного события, необходимо задать вероятность отказа, коэффициент неготовности, интенсивность отказов, интенсивность восстановлений и другие показатели, характеризующие первичные события, при условии, что события дерева отказов не являются избыточными (не приводящими к аварии).
Более строгий и систематический анализ предусматривает выполнение таких процедур, как определение границ системы, построение дерева неисправностей, качественная оценка, количественная оценка.
Основой построения дерева отказов является символьное представление существующих в системе условий − событий, способных вызвать отказ. При построении дерева отказов учитываются и используются следующие основные виды событий:
1) результирующее событие −нежелательное событие (конкретный вид отказа системы из перечня возможных отказов), анализ которого проводится;
2) промежуточное событие−сложное событие с логическим оператором, являющееся одной из возможных причин результирующего события. Оно выявляется в ходе анализа причин результирующего события и подвергается дальнейшему анализу;
3) базовое событие − простое исходное событие, означающее первичный отказ, которое дальше не анализируется в связи с определенностью и наличием достаточного числа данных;
4) неполное событие, −недостаточно детально разработанное событие, которое дальше не анализируется, из-за невозможности или отсутствия необходимости проведения его анализа.
Исходными событиями при построении дерева отказов являются перечни возможных видов событий − отказов и их причин, нерасчетные значения внешних воздействующих факторов и другое. Соответственно, каждому виду события и оператора присваиваются символы, которые используются для графического построения дерева отказов. Логические символы связываются события в соответствии с их причинными взаимосвязями.
Построение дерева и анализ исследуемого объекта с его использованием производится следующим образом.
1 Определяется аварийное (предельно опасное, конечное) событие, которое образует вершину дерева. Данное событие четко формулируется, оговариваются условия его появления, даются признаки его точного распознавания. Например, для объектов химической технологии к таким событиям относятся: разрыв аппарата, пожар, выход реакции из-под контроля и так далее. Определяются возможные первичные и вторичные отказы, которые могут вызвать головное событие, рассматриваются их комбинации.
2 Используя стандартные символы событий и логические символы, дерево строится в соответствии со следующими правилами:
2.1 конечное (аварийное) событие помещается вверху (уровень 1);
2.2 дерево состоит из последовательности событий, которые ведут к конечному событию;
2.3 последовательности событий образуются с помощью логических знаков И, ИЛИ и других;
2.4 событие над логическим знаком помешается в прямоугольнике, а само событие описывается в этом прямоугольнике;
2.5 первичные события (исходные причины) располагаются снизу.
3 Квалифицированные эксперты проверяют правильность построения дерева. Это позволяет исключить субъективные ошибки разработчика, повысить точность и полноту описания объекта и его действия.
4 Определяются минимальные аварийные сочетания и минимальная траектория для построенного дерева. Первичные и неразлагаемые события соединяются с событиями первого уровня маршрутами (ветвями). Сложное дерево имеет различные наборы исходных событий, при которых достигается событие в вершине, они называются аварийными сочетаниями (сечениями) или прерывающими совокупностями событий. Минимальным аварийным сочетанием называется наименьший набор исходных событий, при которых возникает событие в вершине. Полная совокупность минимальных аварийных сочетаний дерева представляет собой все варианты сочетаний событий, при которых может возникнуть авария. Минимальная траектория - наименьшая группа событий, при появлении которых происходит авария.
5 Качественно и количественно исследуется дерево аварий с помощью выделенных минимальных аварийных сочетаний и траекторий.
6 Разрабатываются рекомендации по введению изменений в объекте, системах контроля и управления для улучшения показателей безаварийности.
Для каждой системы возможны различные аварийные ситуации, для каждой из них строятся деревья отказов. Впоследствии эти деревья могут быть и связаны. Аналогично, если одна система функционирует в различных режимах, то может понадобиться анализ деревьев отказов для каждого из режимов.
